-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}
Para información más detallada por favor revise su suscripción ante el CSIRT.
Actividad maliciosa asociada a Gorilla, un malware en desarrollo dirigido a dispositivos Android
Publicado: 19/04/2025 | Importancia: Media
Durante las actividades de monitoreo realizadas por el equipo del Csirt Financiero, se ha detectado actividad maliciosa asociada a Gorilla, un malware dirigido a equipos Android con el propósito de capturar datos personales y financieros, esta herramienta presenta funcionalidades que le permiten interceptar mensajes SMS, organizarlos según su contenido y transmitirlos a un servidor remoto, lo que posibilita la exfiltración de contraseñas de un solo uso y otra información sensible.
Nueva campaña del ransomware RALord
Publicado: 18/04/2025 | Importancia: Media
El equipo de analistas del Csirt Financiero ha identificado nueva actividad asociada al ransomware RALord, una amenaza desarrollada en el lenguaje Rust que ha sido utilizada en campañas recientes para comprometer la confidencialidad y disponibilidad de la información mediante técnicas de doble extorsión.
Nueva actividad maliciosa relacionada con Emotet y Grandoreiro
Publicado: 18/04/2025 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó nueva actividad de los troyanos bancarios Emotet y Grandoreiro.
Nuevo stealer denominado RustySpy
Publicado: 17/04/2025 | Importancia: Media
Durante el monitoreo continúo realizado por el Csirt Financiero, se detectó una nueva amenaza denominada RustySpy, un stealer desarrollado para infiltrarse silenciosamente en los equipos y extraer información confidencial sin ser percibido. Su propósito es obtener datos sensibles relacionados con navegadores, clientes de correo, aplicaciones de mensajería, VPN, clientes FTP, videojuegos y monederos de criptomonedas, afectando credenciales, historiales de navegación, marcadores, información personal y datos bancarios.
Nueva actividad maliciosa relacionada con XWorm y Rhadamanthys
Publicado: 17/04/2025 | Importancia: Media
Durante las actividades de monitoreo realizadas por el equipo del Csirt Financiero, se ha detectado nueva actividad asociada a XWorm y Rhadamanthys, un troyano de acceso remoto (RAT) y stealer respectivamente, activas desde mediados de 2022 estas campañas han sido caracterizadas por una operación escalonada y procesos automatizados que permiten ejecutar cargas maliciosas, destacándose el empleo de PowerShell a través de técnicas de reflexión y la utilización de geofencing para definir el tipo de malware a desplegar según la ubicación geográfica de la víctima.
Nueva actividad relacionada con Interlock ransomware
Publicado: 16/04/2025 | Importancia: Media
Durante las actividades de monitoreo realizadas por el equipo del Csirt Financiero, se ha detectado actividad maliciosa emergente asociada a Interlock, una variante de ransomware empleada en campañas de doble extorsión, este ransomware es operado por un grupo que actúa de forma independiente, sin indicios de participación en esquemas de afiliación vinculados al modelo de ransomware como servicio (RaaS). Las campañas identificadas tienen como finalidad comprometer equipos corporativos, capturar información confidencial y proceder con su cifrado, con el propósito de presionar a la víctima mediante la amenaza de exposición de los datos a través de un portal de filtración en la red Tor.
Nuevo stealer dirigido a equipos MacOS identificado como PasivRobber
Publicado: 16/04/2025 | Importancia: Media
El equipo de analistas del Csirt Financiero ha identificado a PasivRobber, un stealer dirigido a equipos MacOS que está diseñado para capturar información sensible desde aplicaciones de mensajería como WeChat y QQ, además de servicios de correo electrónico, navegadores web y plataformas en la nube.
Nueva campaña distribuye Arechclient2
Publicado: 15/04/2025 | Importancia: Media
El equipo del Csirt Financiero ha identificado una campaña maliciosa orientada a la distribución de Arechclient2, un troyano de acceso remoto (RAT) con funcionalidades de stealer, clasificado como una variante del conocido SectopRAT
Nuevo método de distribución de malware con backdoor Powershell
Publicado: 15/04/2025 | Importancia: Media
Durante las labores de monitoreo continuo, el Csirt Financiero ha identificado una campaña maliciosa que combina phishing dirigido a través de Microsoft Teams con una técnica de persistencia basada en el secuestro de TypeLib, para la distribución de un backdoor malicioso.
Nueva campaña distribuye el ransomware DOGE
Publicado: 14/04/2025 | Importancia: Media
Mediante el monitoreo realizado por el equipo de analistas del Csirt Financiero en busca de nuevas amenazas o campañas maliciosas que pueden afectar la infraestructura de los asociados, se identificó una nueva campaña que distribuye ransomware denominado DOGE.
Nueva actividad relacionada a la distribución de Lokibot, Meterpreter y Darkcloud
Publicado: 13/04/2025 | Importancia: Media
Durante el monitoreo realizado por el equipo de analistas del CSIRT Financiero, se identificó nueva actividad vinculada a la distribución de tres troyanos con potencial impacto en el sector financiero: Lokibot, Meterpreter y Darkcloud.
Nueva actividad maliciosa relacionada con BestPrivateLogger y Snake Keylogger
Publicado: 13/04/2025 | Importancia: Media
Durante las actividades de monitoreo realizadas por el equipo del Csirt Financiero, se ha identificado actividad reciente vinculada a diversas familias de KeyLogger, específicamente BestPrivateLogger y Snake. Estas amenazas están orientadas a la captura de información sensible perteneciente a las víctimas, como credenciales de autenticación, datos financieros y otros contenidos confidenciales, a través de mecanismos como el registro de teclas, la obtención de capturas de pantalla y el monitoreo del portapapeles.
Akirabot, automatización maliciosa de spam mediante IA y evasión de CAPTCHA
Publicado: 11/04/2025 | Importancia: Media
Durante las actividades de monitoreo realizadas por el equipo del Csirt Financiero, se ha detectado actividad maliciosa asociada a AkiraBot, un bot desarrollado en Python que pertenece a un conjunto de herramientas diseñadas para automatizar el envío masivo de contenido no deseado a través de formularios de contacto y chats embebidos en sitios web. Esta herramienta tiene como finalidad principal la promoción de servicios SEO de dudosa calidad, y ha tenido como objetivo a más de 420.000 dominios únicos, logrando enviar mensajes generados por IA a por lo menos 80.000 de ellos.
Nueva actividad relacionada a SpyNote
Publicado: 10/04/2025 | Importancia: Media
El equipo del CSIRT Financiero observó una nueva actividad relacionada con el troyano de acceso remoto SpyNote y su variante SpyMax, dirigida específicamente a dispositivos Android, que permite a cibercriminales tomar control remoto de los dispositivos comprometidos, facilitando la recolección y exfiltración de información sensible.
Nueva campaña phishing distribuye ConnectWise
Publicado: 10/04/2025 | Importancia: Media
El equipo del Csirt Financiero ha identificado una nueva campaña maliciosa en la que actores de amenaza están distribuyendo correos electrónicos fraudulentos haciéndose pasar por el servicio legítimo de intercambio de archivos files.fm.
Nueva campaña del grupo SideCopy haciendo uso de RAT personalizados
Publicado: 09/04/2025 | Importancia: Media
Durante los monitoreos constantes realizados por el equipo de analistas del Csirt Financiero, se ha identificado recientemente actividad atribuida al grupo APT SideCopy el cual ha desplegado nuevas campañas ampliando su espectro de objetivos, que tradicionalmente incluían sectores como defensa, universidades y asuntos marítimos, hacia entidades gubernamentales, ambientales y financieras.
Nueva actividad maliciosa asociada a ViperSoftX
Publicado: 09/04/2025 | Importancia: Media
Mediante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se ha identificado actividad maliciosa asociada a ViperSoftX, un stealer con capacidades propias de troyanos y herramientas de administración remota (RAT), el cual ha sido distribuido en campañas recientes por actores maliciosos.
Nueva actividad maliciosa de distintas familias de RAT
Publicado: 08/04/2025 | Importancia: Media
El equipo de analistas del Csirt Financiero ha identificado una campaña activa que involucra la distribución de múltiples troyanos de acceso remoto (RAT), específicamente AgentTesla, QuasarRAT y njRAT, los cuales estarían siendo utilizados por distintos grupos de ciberdelincuentes para comprometer equipos con sistemas operativos Windows, Linux y macOS.
Nueva variante de ransomware denominada PelDox
Publicado: 08/04/2025 | Importancia: Media
Durante actividades de monitoreo, se identificó una variante de ransomware recientemente detectada, denominada PelDox, la cual compromete la seguridad de los equipos al cifrar archivos y exigir un pago para su recuperación.
Nueva campaña distribuye Grandoreiro mediante el uso de VPS
Publicado: 08/04/2025 | Importancia: Media
Durante el monitoreo realizado por el equipo de analistas del Csirt Financiero, se identificó una campaña orientada a distribuir el troyano bancario Grandoreiro mediante el uso de servidores privados virtuales (VPS)
Nueva actividad maliciosa relacionada con Neptune RAT
Publicado: 08/04/2025 | Importancia: Media
Durante el monitoreo realizado por el equipo de analistas del CSIRT Financiero, se ha identificado actividad maliciosa relacionada con Neptune RAT, un troyano de acceso remoto diseñado para operar en sistemas operativos Windows el cual permite a los ciberdelincuentes obtener acceso y control remoto sobre los equipos comprometidos
Nuevo RAT publicado en GitHub llamado SakuraRAT
Publicado: 07/04/2025 | Importancia: Media
Durante el monitoreo constante realizado por el Csirt Financiero, se identificó la publicación de un nuevo troyano de acceso remoto (RAT) denominado SakuraRAT, el cual fue liberado públicamente a través de la plataforma GitHub y está diseñado para otorgar control remoto sobre los equipos comprometidos.
Nuevo ransomware denominado Chewbacca
Publicado: 07/04/2025 | Importancia: Media
A través del monitoreo continúo realizado por el equipo de analistas del Csirt Financiero, se identificó actividad maliciosa asociada con el ransomware Chewbacca, una amenaza diseñada para cifrar archivos en los equipos comprometidos y exigir un rescate a cambio de la clave de descifrado.
Nueva actividad relacionada a la distribución de múltiples troyanos de bancarios
Publicado: 06/04/2025 | Importancia: Media
Durante las labores de monitoreo continúo realizadas por el Csirt Financiero, se identificó actividad maliciosa asociada a la distribución de múltiples familias de troyanos bancarios, entre ellos: DanaBot, Guildma, Mekotio, Grandoreiro, Mispadu y CosmicBanker, representando un riesgo elevado para las entidades del sector financiero, debido a su capacidad para interceptar información confidencial, manipular sesiones bancarias y mantener una presencia oculta y persistente en los equipos y dispositivos comprometidos.
Nueva actividad maliciosa relacionada con PXA Stealer
Publicado: 06/04/2025 | Importancia: Media
El equipo de analistas del Csirt Financiero ha identificado nueva actividad maliciosa asociada a PXA, un stealer diseñado para capturar y exfiltrar información sensible almacenada en los equipos de las víctimas, demostrado capacidades para acceder a credenciales guardadas en navegadores web, cookies de sesión, datos de formularios autofill y credenciales asociadas a billeteras de criptomonedas
Actividad maliciosa relacionada con campañas de troyanos de acceso remoto
Publicado: 06/04/2025 | Importancia: Media
Durante el monitoreo continúo realizado por el Csirt Financiero, se ha identificado actividad maliciosa vinculada a troyanos de acceso remoto (RAT) como WSHRAT, QuasarRAT y njRAT, los cuales han sido utilizadas por diversos actores de amenaza para comprometer equipos en múltiples sectores, facilitando la exfiltración de información sensible y el control remoto completo de los equipos afectados.
Nueva campaña de distribución de Lumma Stealer y CryptBot denominada ClickFix
Publicado: 05/04/2025 | Importancia: Media
Durante las actividades de monitoreo realizadas por el equipo del Csirt Financiero, se ha identificado una nueva campaña reciente asociada a la distribución de Lumma Stealer y CryptBot, identificada bajo el nombre ClickFix. Esta amenaza destaca por su habilidad para obtener información sensible desde los equipos de las víctimas, incluyendo credenciales almacenadas en aplicaciones y navegadores, y por emplear mecanismos de ejecución que no dependen de procesos convencionales de descarga.
Nuevo ransomware denominado MattVenom
Publicado: 04/04/2025 | Importancia: Media
Durante actividades de monitoreo realizadas por el equipo de analistas del Csirt Financiero, se observó una campaña activa relacionada con MattVenom, una nueva familia de ransomware diseñada para cifrar archivos en sistemas comprometidos. Esta amenaza se caracteriza por agregar extensiones aleatorias a los archivos cifrados (como .31jPB o .3c45b), dejándolos completamente inaccesibles para la víctima.
Nuevas técnicas avanzadas empleadas por HijackLoader
Publicado: 03/04/2025 | Importancia: Media
El equipo de Csirt Financiero, mediante el monitoreo constante de amenazas, ha observado las últimas actualizaciones del malware HijackLoader, que ahora incluye módulos diseñados para mejorar su evasión.
Nueva campaña de exfiltración de datos financieros llamada Rolandskimmer
Publicado: 03/04/2025 | Importancia: Media
Durante el monitoreo realizado por el equipo de analistas del Csirt Financiero se ha identificado una nueva campaña denominada RolandSkimmer, dirigida a usuarios de Microsoft Windows. En consecuencia, se ha observado el uso de técnicas de evasión y persistencia con el objetivo de capturar y exfiltrar información financiera confidencial, enfocándose especialmente en datos de tarjetas de crédito. Para ello, se vale de extensiones de navegador modificadas y scripts ofuscados que operan de manera encubierta, evitando generar alertas visibles en los equipos comprometidos.